Azure Blob Depolama ile parolasız bağlantılar kullanmak için bir uygulamayı geçirme

Azure hizmetlerine yönelik uygulama isteklerinin kimlik doğrulaması, hesap erişim anahtarları veya parolasız bağlantılar gibi yapılandırmalar kullanılarak yapılmalıdır. Ancak, mümkün olduğunda uygulamalarınızda parolasız bağlantılara öncelik vermelisiniz. Parola veya gizli anahtar kullanan geleneksel kimlik doğrulama yöntemleri, güvenlik riskleri ve karmaşıklıklar oluşturur. Parolasız bağlantılara geçmenin avantajları hakkında daha fazla bilgi edinmek için Azure services hub'ı için parolasız bağlantılar'ı ziyaret edin.

Aşağıdaki öğreticide, parolasız bağlantılar kullanarak var olan bir uygulamanın nasıl bağlanacak şekilde geçirilir açıklanmaktadır. Erişim anahtarları, bağlantı dizesi veya gizli dizi tabanlı başka bir yaklaşım kullanıyor olmanız fark etmeksizin bu geçiş adımları geçerli olmalıdır.

Rolleri ve kullanıcıları yerel geliştirme kimlik doğrulaması için yapılandırma

Yerel olarak geliştirme yaparken blob verilerine erişen kullanıcı hesabının doğru izinlere sahip olduğundan emin olun. Blob verilerini okumak ve yazmak için Depolama Blob Verileri Katkıda Bulunanı gerekir. Kendinize bu rolü atamak için Kullanıcı Erişimi Yöneticisi rolüne veya Microsoft.Authorization/roleAssignments/write eylemini içeren başka bir role atanmalısınız. Azure portalı, Azure CLI veya Azure PowerShell'i kullanarak kullanıcıya Azure RBAC rolleri atayabilirsiniz. Rol atamaları için kullanılabilir kapsamlar hakkında daha fazla bilgiyi kapsam genel bakış sayfasından öğrenebilirsiniz.

Bu senaryoda, En Az Ayrıcalık İlkesi'ni izlemek için depolama hesabı kapsamındaki kullanıcı hesabınıza izinler atayacaksınız. Bu uygulama kullanıcılara yalnızca gereken minimum izinleri verir ve daha güvenli üretim ortamları oluşturur.

Aşağıdaki örnek, depolama hesabınızdaki blob verilerine hem okuma hem de yazma erişimi sağlayan Depolama Blob Verileri Katkıda Bulunanı rolünü kullanıcı hesabınıza atar.

Önemli

Çoğu durumda rol atamasının Azure'a yayılması bir veya iki dakika sürer, ancak nadir durumlarda sekiz dakikaya kadar sürebilir. Kodunuzu ilk kez çalıştırdığınızda kimlik doğrulama hataları alıyorsanız, birkaç dakika bekleyin ve yeniden deneyin.

Azure portalı

1. Azure portalında ana arama çubuğunu veya sol gezintiyi kullanarak depolama hesabınızı bulun.

2. Depolama hesabına genel bakış sayfasında sol taraftaki menüden Erişim denetimi (IAM) öğesini seçin.

3. Erişim denetimi (IAM) sayfasında Rol atamaları sekmesini seçin.

4. Üst menüden + Ekle'yi seçin ve ardından açılan menüden Rol ataması ekle'yi seçin.

   

5. Sonuçları istenen role göre filtrelemek için arama kutusunu kullanın. Bu örnek için Depolama Blobu Veri Katkıda Bulunanı'nı arayın ve eşleşen sonucu seçin ve ardından İleri'yi seçin.

6. Erişim ata'nın altında Kullanıcı, grup veya hizmet sorumlusu'na tıklayın ve ardından + Üye seç'e tıklayın.

7. İletişim kutusunda Microsoft Entra kullanıcı adınızı (genellikle user@domain e-posta adresiniz) arayın ve iletişim kutusunun alt kısmındaki Seç'i seçin.

8. Son sayfaya gitmek için Gözden geçir + ata'yı seçin ve ardından işlemi tamamlamak için Gözden geçir + yeniden ata'yı seçin.

Azure CLI

Azure CLI kullanarak kaynak düzeyinde bir rol atamak için önce komutunu kullanarak az storage account show kaynak kimliğini almanız gerekir. parametresini kullanarak --query çıkış özelliklerini filtreleyebilirsiniz.

az storage account show --resource-group '<your-resource-group-name>' --name '<your-storage-account-name>' --query id

Önceki komuttan çıktıyı Id kopyalayın. Ardından Azure CLI'nın az role komutunu kullanarak roller atayabilirsiniz.

az role assignment create --assignee "<user@domain>" \
    --role "Storage Blob Data Contributor" \
    --scope "<your-resource-id>"

PowerShell

Azure PowerShell kullanarak kaynak düzeyinde bir rol atamak için önce komutunu kullanarak Get-AzResource kaynak kimliğini almanız gerekir.

Get-AzResource -ResourceGroupName "<yourResourceGroupname>" -Name "<yourStorageAccountName>"

Id Önceki komut çıkışındaki değeri kopyalayın. Ardından PowerShell'de New-AzRoleAssignment komutunu kullanarak roller atayabilirsiniz.

New-AzRoleAssignment -SignInName <user@domain> `
    -RoleDefinitionName "Storage Blob Data Contributor" `
    -Scope <yourStorageAccountId>

Parolasız bağlantıları kullanmak için oturum açın ve uygulama kodunu geçirin

Yerel geliştirme için, rolü atadığınız Microsoft Entra hesabıyla kimliğinizin doğrulanmış olduğundan emin olun. Azure CLI veya Azure PowerShell gibi popüler geliştirme araçlarıyla kimlik doğrulaması yapabilirsiniz. Kimlik doğrulaması yapabileceğiniz geliştirme araçları farklı dillerde farklılık gösterir.

Azure CLI

Aşağıdaki komutu kullanarak Azure CLI aracılığıyla Azure'da oturum açın:

az login

Visual Studio

Visual Studio'nun sağ üst kısmındaki Oturum aç düğmesini seçin.

Daha önce bir rol atadığınız Microsoft Entra hesabını kullanarak oturum açın.

Visual Studio Code

Visual Studio Code aracılığıyla çalışmak DefaultAzureCredential için Azure CLI'yi yüklemeniz gerekir.

Visual Studio Code'un ana menüsünde Terminal > Yeni Terminal'e gidin.

Aşağıdaki komutu kullanarak Azure CLI aracılığıyla Azure'da oturum açın:

az login

PowerShell

Aşağıdaki komutu kullanarak PowerShell kullanarak Azure'da oturum açın:

Connect-AzAccount

Ardından, parolanızı parolasız bağlantıları kullanacak şekilde güncelleştirin.

.NET

1. .NET uygulamasında kullanmak DefaultAzureCredential için paketini yükleyin Azure.Identity :

   dotnet add package Azure.Identity
   

2. Dosyanızın en üstüne aşağıdaki kodu ekleyin:

   using Azure.Identity;
   

3. Kodunuzda Azure Blob Depolama bağlanmak için bir BlobServiceClient oluşturan konumları belirleyin. Kodunuzu aşağıdaki örnekle eşleşecek şekilde güncelleştirin:

   DefaultAzureCredential credential = new();
   
   BlobServiceClient blobServiceClient = new(
       new Uri($"https://{storageAccountName}.blob.core.windows.net"),
       credential);
   

Git

1. Go uygulamasında kullanmak DefaultAzureCredential için modülü yükleyin azidentity :

   go get -u github.com/Azure/azure-sdk-for-go/sdk/azidentity
   

2. Dosyanızın en üstüne aşağıdaki kodu ekleyin:

   import (
       "github.com/Azure/azure-sdk-for-go/sdk/azidentity"
   )
   

3. Kodunuzda Azure Blob Depolama bağlanacak bir Client örnek oluşturan konumları belirleyin. Kodunuzu aşağıdaki örnekle eşleşecek şekilde güncelleştirin:

   cred, err := azidentity.NewDefaultAzureCredential(nil)
   if err != nil {
       // handle error
   }
   
   serviceURL := fmt.Sprintf("https://%s.blob.core.windows.net", storageAccountName)
   client, err := azblob.NewClient(serviceURL, cred, nil)
   if err != nil {
       // handle error
   }
   

Java

1. Java uygulamasında kullanmak DefaultAzureCredential için aşağıdaki yaklaşımlardan biriyle paketi yükleyin azure-identity :

   1. Ürün reçetesi dosyasını ekleyin.
   2. Doğrudan bağımlılık ekleyin.

2. Dosyanızın en üstüne aşağıdaki kodu ekleyin:

   import com.azure.identity.DefaultAzureCredentialBuilder;
   

3. Kodunuzda Azure Blob Depolama bağlanacak bir BlobServiceClient nesne oluşturan konumları belirleyin. Kodunuzu aşağıdaki örnekle eşleşecek şekilde güncelleştirin:

   DefaultAzureCredential credential = new DefaultAzureCredentialBuilder()
       .build();
   String endpoint = 
       String.format("https://%s.blob.core.windows.net", storageAccountName);
   
   BlobServiceClient blobServiceClient = new BlobServiceClientBuilder()
       .endpoint(endpoint)
       .credential(credential)
       .buildClient();
   

Node.js

1. Node.js bir uygulamada kullanmak DefaultAzureCredential için paketini yükleyin @azure/identity :

   npm install --save @azure/identity
   

2. Dosyanızın en üstüne aşağıdaki kodu ekleyin:

   import { DefaultAzureCredential } from "@azure/identity";
   

3. Kodunuzda Azure Blob Depolama bağlanacak bir BlobServiceClient nesne oluşturan konumları belirleyin. Kodunuzu aşağıdaki örnekle eşleşecek şekilde güncelleştirin:

   const credential = new DefaultAzureCredential();
   
   const blobServiceClient = new BlobServiceClient(
     `https://${storageAccountName}.blob.core.windows.net`,
     credential
   );    
   

Python

1. Python uygulamasında kullanmak DefaultAzureCredential için paketini yükleyin azure-identity :

   pip install azure-identity
   

2. Dosyanızın en üstüne aşağıdaki kodu ekleyin:

   from azure.identity import DefaultAzureCredential
   

3. Kodunuzda Azure Blob Depolama bağlanacak bir BlobServiceClient nesne oluşturan konumları belirleyin. Kodunuzu aşağıdaki örnekle eşleşecek şekilde güncelleştirin:

   credential = DefaultAzureCredential()
   
   blob_service_client = BlobServiceClient(
       account_url = "https://%s.blob.core.windows.net" % storage_account_name,
       credential = credential
   )
   

4. URI'nizdeki depolama hesabı adını güncelleştirdiğinden BlobServiceClientemin olun. Depolama hesabı adını Azure portalının genel bakış sayfasında bulabilirsiniz.

   

Uygulamayı yerel olarak çalıştırma

Bu kod değişikliklerini yaptıktan sonra uygulamanızı yerel olarak çalıştırın. Yeni yapılandırma, Azure CLI, Visual Studio veya IntelliJ gibi yerel kimlik bilgilerinizi almalıdır. Azure'da yerel geliştirici kullanıcınıza atadığınız roller, uygulamanızın Azure hizmetine yerel olarak bağlanmasına olanak tanır.

Azure barındırma ortamını yapılandırma

Uygulamanız parolasız bağlantıları kullanacak şekilde yapılandırıldıktan ve yerel olarak çalıştırıldıktan sonra aynı kod Azure'a dağıtıldıktan sonra Azure hizmetlerinde kimlik doğrulaması yapabilir. Aşağıdaki bölümlerde, yönetilen kimlik kullanarak Azure Blob Depolama bağlanmak için dağıtılan bir uygulamanın nasıl yapılandırılacağı açıklanmaktadır.

Yönetilen kimliği oluşturma

Azure portalını veya Azure CLI'yi kullanarak kullanıcı tarafından atanan bir yönetilen kimlik oluşturabilirsiniz. Uygulamanız diğer hizmetlerde kimlik doğrulaması yapmak için bu kimliği kullanır.

Azure portalı

1. Azure portalının üst kısmında Yönetilen kimlikler'i arayın. Yönetilen Kimlikler sonucunu seçin.
2. Yönetilen Kimliklere genel bakış sayfasının üst kısmındaki + Oluştur'u seçin.
3. Temel Bilgiler sekmesinde aşağıdaki değerleri girin:
   • Abonelik: İstediğiniz aboneliği seçin.
   • Kaynak Grubu: İstediğiniz kaynak grubunu seçin.
   • Bölge: Konumunuza yakın bir bölge seçin.
   • Ad: Kimliğiniz için MigrationIdentity gibi tanınabilir bir ad girin.
4. Sayfanın alt kısmındaki Gözden geçir ve oluştur'u seçin.
5. Doğrulama denetimleri tamamlandığında Oluştur'u seçin. Azure, kullanıcı tarafından atanan yeni bir kimlik oluşturur.

Kaynak oluşturulduktan sonra, yönetilen kimliğin ayrıntılarını görüntülemek için Kaynağa git'i seçin.

Azure CLI

Kullanıcı tarafından atanan yönetilen kimlik oluşturmak için az identity create komutunu kullanın:

az identity create --name MigrationIdentity --resource-group <your-resource-group>

Yönetilen kimliği web uygulamanızla ilişkilendirme

Web uygulamanızı oluşturduğunuz yönetilen kimliği kullanacak şekilde yapılandırmanız gerekir. Azure portalını veya Azure CLI'yı kullanarak kimliği uygulamanıza atayın.

Azure portalı

Bir kimliği uygulamanızla ilişkilendirmek için Azure portalında aşağıdaki adımları tamamlayın. Bu adımlar aşağıdaki Azure hizmetleri için de geçerlidir:

• Azure Spring Apps
• Azure Container Apps
• Azure sanal makineleri
• Azure Kubernetes Service

1. Web uygulamanızın genel bakış sayfasına gidin.

2. Sol gezinti bölmesinden Kimlik'i seçin.

3. Kimlik sayfasında Kullanıcı tarafından atanan sekmesine geçin.

4. Kullanıcı tarafından atanan yönetilen kimlik ekle açılır öğesini açmak için + Ekle'yi seçin.

5. Kimliği oluşturmak için daha önce kullandığınız aboneliği seçin.

6. MigrationIdentity öğesini ada göre arayın ve arama sonuçlarından seçin.

7. Kimliği uygulamanızla ilişkilendirmek için Ekle'yi seçin.

   

Azure CLI

Bir kimliği uygulamanızla ilişkilendirmek için aşağıdaki Azure CLI komutlarını kullanın:

az identity show komutunu kullanarak oluşturduğunuz yönetilen kimliğin kimliğini alın. Sonraki adımda kullanmak üzere çıkış değerini kopyalayın.

az identity show --name MigrationIdentity -g <your-identity-resource-group-name> --query id

Azure App Service

az webapp identity assign komutuyla bir Azure Uygulaması Hizmeti örneğine yönetilen kimlik atayabilirsiniz.

az webapp identity assign \
    --resource-group <resource-group-name> \
    --name <webapp-name>
    --identities <managed-identity-id>

Azure Spring Apps

Az spring app identity assign komutuyla Azure Spring Apps örneğine yönetilen kimlik atayabilirsiniz .

az spring app identity assign \
    --resource-group <resource-group-name> \
    --name <app-name> \
    --service <service-name>
    --user-assigned <managed-identity-id>

Azure Container Apps

az containerapp identity assign komutuyla bir sanal makineye yönetilen kimlik atayabilirsiniz .

az containerapp identity assign \
    --resource-group <resource-group-name> \
    --name <app-name>
    --user-assigned <managed-identity-id>

Azure sanal makineleri

az vm identity assign komutuyla bir sanal makineye yönetilen kimlik atayabilirsiniz .

az vm identity assign \
    --resource-group <resource-group-name> \
    --name <virtual-machine-name>
    --identities <managed-identity-id>

Azure Kubernetes Service

Az aks update komutuyla Azure Kubernetes Service (AKS) örneğine yönetilen kimlik atayabilirsiniz.

az aks update \
    --resource-group <resource-group-name> \
    --name <cluster-name> \
    --enable-managed-identity \
    --assign-identity <managed-identity-id> \
    --assign-kubelet-identity <managed-identity-id>

Hizmet Bağlayıcısı

Azure CLI kullanarak Bir Azure işlem barındırma ortamı ile hedef hizmet arasında bağlantı oluşturmak için Hizmet Bağlayıcısı'nı kullanabilirsiniz. Hizmet Bağlayıcısı CLI komutları, kimliğinize otomatik olarak uygun rolü atar. Genel bakış sayfasında Hizmet Bağlayıcısı ve hangi senaryoların desteklendiği hakkında daha fazla bilgi edinebilirsiniz.

1. komutunu kullanarak az identity show oluşturduğunuz yönetilen kimliğin istemci kimliğini alın. Daha sonra kullanmak üzere değeri kopyalayın.

   az identity show --name MigrationIdentity --resource-group <your-resource-group> --query clientId
   

2. Hizmet bağlantısını kurmak için uygun CLI komutunu kullanın:

   Azure App Service

   Azure Uygulaması Hizmeti kullanıyorsanız az webapp connection komutunu kullanın:

   az webapp connection create storage-blob \
       --resource-group <resource-group-name> \
       --name <webapp-name> \
       --target-resource-group <target-resource-group-name> \
       --account <target-storage-account-name> \
       --user-identity "client-id=<your-identity-client-id>" "subs-id=<your-subscription-id>"
   

   Azure Spring Apps

   Azure Spring Apps kullanıyorsanız az spring-cloud connection komutunu kullanın:

   az spring-cloud connection create storage-blob \
       --resource-group <resource-group-name> \
       --service <service-instance-name> \
       --app <app-name> \
       --deployment <deployment-name> \
       --target-resource-group <target-resource-group> \
       --account <target-storage-account-name> \
       --user-identity "client-id=<your-identity-client-id>" "subs-id=<your-subscription-id>"
   

   Azure Container Apps

   Azure Container Apps kullanıyorsanız az containerapp connection komutunu kullanın:

   az containerapp connection create storage-blob \
       --resource-group <resource-group-name> \
       --name <containerapp-name> \
       --target-resource-group <target-resource-group-name> \
       --account <target-storage-account-name> \
       --user-identity "client-id=<your-identity-client-id>" "subs-id=<your-subscription-id>"
   

Yönetilen kimliğe rol atama

Ardından, depolama hesabınıza erişmek için oluşturduğunuz yönetilen kimliğe izin vermeniz gerekir. Yerel geliştirme kullanıcınızda yaptığınız gibi yönetilen kimliğe bir rol atayarak izinler verin.

Azure portalı

1. Depolama hesabına genel bakış sayfanıza gidin ve sol gezinti bölmesinden Erişim Denetimi (IAM) öğesini seçin.

2. Rol ataması ekle'yi seçin

   

3. Rol arama kutusunda, bloblar için veri işlemlerini yönetmek için kullanılan yaygın bir rol olan Depolama Blobu Veri Katkıda Bulunanı'nı arayın. Kullanım örneğiniz için uygun olan rolü atayabilirsiniz. Listeden Depolama Blob Verileri Katkıda Bulunanı'nı seçin ve İleri'yi seçin.

4. Rol ataması ekle ekranında, Erişim ata seçeneği için Yönetilen kimlik'i seçin. Ardından +Üye seç'i seçin.

5. Açılır menüde, ada göre oluşturduğunuz yönetilen kimliği arayın ve sonuçlardan seçin. Açılır menüyü kapatmak için Seç'i seçin.

   

6. Rol atamasını tamamlamak için Gözden geçir ve ata'yı seçene kadar birkaç kez İleri'yi seçin.

Azure CLI

Azure CLI kullanarak kaynak düzeyinde bir rol atamak için önce az storage account show komutunu kullanarak kaynak kimliğini almanız gerekir. parametresini kullanarak --query çıkış özelliklerini filtreleyebilirsiniz.

az storage account show \
    --resource-group '<your-resource-group-name>' \
    --name '<your-storage-account-name>' \
    --query id

Önceki komuttan çıkış kimliğini kopyalayın. Ardından Azure CLI'nın az role assignment komutunu kullanarak roller atayabilirsiniz.

az role assignment create \
    --assignee "<your-username>" \
    --role "Storage Blob Data Contributor" \
    --scope "<your-resource-id>"

Hizmet Bağlayıcısı

Hizmetlerinizi Service Connector kullanarak bağladıysanız bu adımı tamamlamanız gerekmez. Hizmet Bağlayıcısı CLI komutlarını çalıştırdığınızda gerekli rol yapılandırmaları sizin için işlendi.

Uygulama kodunu güncelleştirme

Uygulama kodunuzu Azure'a dağıtıldığında oluşturduğunuz belirli yönetilen kimliği aramak için yapılandırmanız gerekir. Bazı senaryolarda, uygulama için yönetilen kimliği açıkça ayarlamak, diğer ortam kimliklerinin yanlışlıkla algılanmasını ve otomatik olarak kullanılmasını da önler.

1. Yönetilen kimliğe genel bakış sayfasında, istemci kimliği değerini panonuza kopyalayın.

2. Dile özgü aşağıdaki değişiklikleri uygulayın:

   .NET

   Bir DefaultAzureCredentialOptions nesne oluşturun ve öğesine DefaultAzureCredentialgeçirin. ManagedIdentityClientId özelliğini istemci kimliği olarak ayarlayın.

   DefaultAzureCredential credential = new(
       new DefaultAzureCredentialOptions
       {
           ManagedIdentityClientId = managedIdentityClientId
       });
   

   Git

   Ortam değişkenini AZURE_CLIENT_ID yönetilen kimlik istemci kimliği olarak ayarlayın. DefaultAzureCredential bu ortam değişkenlerini okur.

   Java

   managedIdentityClientId yöntemini çağırın. İstemci kimliğini ona geçirin.

   DefaultAzureCredential credential = new DefaultAzureCredentialBuilder()
       .managedIdentityClientId(managedIdentityClientId)
       .build();
   

   Node.js

   managedIdentityClientId özelliği istemci kimliğine ayarlanmış bir DefaultAzureCredentialClientIdOptions nesne oluşturun. Bu nesneyi oluşturucuya DefaultAzureCredential geçirin.

   const credential = new DefaultAzureCredential({
     managedIdentityClientId
   });
   

   Python

   Oluşturucunun DefaultAzureCredential managed_identity_client_id parametresini istemci kimliğine ayarlayın.

   credential = DefaultAzureCredential(
       managed_identity_client_id = managed_identity_client_id
   )
   

3. Yapılandırma güncelleştirmelerinin uygulanması için bu değişikliği yaptıktan sonra kodunuzu Azure'a yeniden dağıtın.

Uygulamayı test etme

Güncelleştirilmiş kodu dağıttığınızda tarayıcıda barındırılan uygulamanıza göz atın. Uygulamanızın depolama hesabına başarıyla bağlanabilmesi gerekir. Rol atamalarının Azure ortamınızda yayılmasının birkaç dakika sürebileceğini unutmayın. Uygulamanız artık geliştiricilerin uygulamadaki gizli dizileri yönetmek zorunda kalmadan hem yerel hem de üretim ortamında çalışacak şekilde yapılandırılmıştır.

Sonraki adımlar

Bu öğreticide, bir uygulamayı parolasız bağlantılara geçirmeyi öğrendiniz.

Bu makalede ele alınan kavramları daha ayrıntılı incelemek için aşağıdaki kaynakları okuyabilirsiniz:

• Microsoft Entra Id kullanarak bloblara erişimi yetkilendirme
• .NET Core hakkında daha fazla bilgi için bkz. 10 dakika içinde .NET kullanmaya başlama.